本节简要介绍访问控制。 访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为子用户分配不同权限，从而避免与其他子用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA），在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。

本文帮助您快速熟悉如何配置HTTPS双向认证。 操作场景 HTTPS协议监听器可配置CA证书，对客户端证书的签名进行验证，实现安全审计、数据分析、安全测试和访问控制等功能。 操作步骤 1. 登录弹性负载均衡弹性负载均衡控制台。 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1。 3. 打开监听器配置向导，在协议&监听器页面，选择HTTPS协议并输入端口。 4. 在HTTPS监听器添加步骤中，选择开启“双向认证”，下方出现CA证书选择下拉列表框。 5. 点击刷新图标，可刷新证书列表，选择所需证书。 6. 如未创建证书，可点击“查看证书”跳转到证书管理页面创建证书。 7. 配置好相关参数后，点击“下一步”配置负载方式和健康检查，完成相关操作。 8. 如需替换证书，可在修改监听器页面选择要替换的证书，并点击“确定”，完成操作。

本文介绍云备份的产品定义及架构。 云备份CTCBR（Cloud Backup&Recovery）是一个简单易用、经济高效、安全可靠的一键式备份产品。通过集中管理界面，为用户的云主机、本地主机相关的数据库、硬盘、虚拟机、文件数据等资源提供统一数据保护。 面向需要数据备份的企业，云备份提供简单易用的备份能力。当软件错误、病毒入侵、人为删除等事件发生时，可将数据恢复到任意备份点，减轻经济损失。 支持备份的数据类型 数据类型 数据源 对应的备份存储库类型 文件目录 本地数据中心、天翼云ECS、天翼云物理机 文件备份存储库 数据库 本地数据中心、天翼云ECS、天翼云物理机 混合备份存储库 磁盘 本地数据中心 混合备份存储库 VMware 本地数据中心 混合备份存储库 产品架构 云备份主要由存储库、备份计划和备份副本等组成。 存储库 存储库用于存储您备份在云上的数据。创建备份前，需要先创建至少一个存储库，产生的备份副本将存放至对应的存储库中，云备份目前提供2种备份存储库类型，请根据具体需要选择购买相应的备份存储库。 文件备份存储库：适用于ECS文件备份、物理机文件备份、本地文件备份功能，进行文件/目录的备份。 混合备份存储库：适用于混合备份（存储版）功能，进行数据库、磁盘、VMware的备份。

本节介绍了服务端加密的相关内容。 服务端加密简介 关系型数据库服务的管理控制台目前支持数据加密服务（Data Encryption Workshop，简称DEW）托管密钥的服务端加密，即使用数据加密服务提供的密钥进行服务端加密。 数据加密服务通过使用硬件安全模块 (Hardware Security Module，简称HSM) 保护密钥安全的托管，帮助用户轻松创建和控制加密密钥。用户密钥不会明文出现在硬件安全模块之外，避免密钥泄露。对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足监督和合规性要求。 当启用服务端加密功能后，用户创建实例和扩容磁盘时，磁盘数据会在服务端加密成密文后存储。用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。 使用服务端加密方式加密磁盘 用户首先需要在数据加密服务中创建密钥（或者使用数据加密服务提供的默认密钥）。创建实例时，在“磁盘加密”项选择“加密”，选择或创建密钥，该密钥是最终租户密钥，使用该密钥进行服务端加密，使磁盘更安全。 已通过统一身份认证服务添加关系型数据库所在区域的KMS Administrator权限。 如果用户需要使用自定义密钥加密上传对象，则需要先通过数据加密服务创建密钥。目前关系型数据库只支持对称密钥。 RDS购买磁盘加密后，在实例创建成功后不可修改磁盘加密状态，且无法更改密钥。选择“磁盘加密”，存放在对象存储服务上的备份数据不会被加密。 设置了磁盘加密或备份数据加密后，提醒您保存好密钥，一旦密钥被禁用、删除或冻结，会导致数据库不可用，并且可能无法恢复数据，具体场景如下： − 针对磁盘加密，备份数据不加密的场景：可以通过备份恢复到新实例的方式恢复数据。 − 针对磁盘加密，并且备份数据加密的场景：无法恢复数据。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。

本小节介绍在Linux主机上安装PAM并设置口令复杂度策略。 安装PAM 如果当前系统中未安装PAM（Pluggable Authentication Modules），就无法为系统提供口令复杂度策略检测功能。 若云服务器的操作系统为Debian或Ubuntu，请以管理员用户在命令行终端执行命令aptget install libpamcracklib进行安装。 CentOS、Fedora、EulerOS系统默认安装了PAM并默认启动。 设置口令复杂度策略 为了确保系统的安全性，建议设置的口令复杂度策略为：口令最小长度不小于8，至少包含大写字母、小写字母、数字和特殊字符中的三种。 以下配置为基础的安全要求，如需其他更多的安全配置，请执行以下命令获取Linux帮助信息。 基于Red Hat 7.0的CentOS、Fedora、EulerOS系统 man pampwquality 其他Linux系统 man pamcracklib CentOS、Fedora、EulerOS操作系统 执行以下命令，编辑文件“/etc/pam.d/systemauth”。 vi/etc/pam.d/systemauth。 注意 “dcredit”、“ucredit”、“lcredit”、“ocredit”中至少有三个需要配置为负数。 参数说明 参数 说明 示例 minlen 口令最小长度配置项。 PAM默认使用了“credits”，因此最小口令长度需要加1，若需要设置最小口令长度为8，则minlen的值应该设置为9。 minlen9 dcredit 口令数字要求的配置项。 值为负数N时表示至少有N个数字，值为正数时对数字个数没有限制。 dcredit1 ucredit 口令大写字母要求的配置项。 值为负数N时表示至少有N个大写字母，值为正数时对大写字母个数没有限制。 ucredit1 lcredit 口令小写字母要求的配置项。 值为负数N时表示至少有N个小写字母，值为正数时对小写字母个数没有限制。 lcredit1 ocredit 特殊字符要求的配置项。 值为负数N时表示至少有N个特殊字符，值为正数时对特殊字符个数没有限制。 ocredit1

本文介绍Serverless集群概述。 产品简介 云容器引擎Serverless版是天翼云提出的Serverless Kubernetes容器服务。与传统Kubernetes集群相比，Serverless集群无需购买节点即可直接部署容器应用，同时无需对集群进行节点维护和容量规划，降低了Kubernetes使用门槛，让用户更专注于应用程序，而不是管理底层基础设施。Serverless集群提供完善的Kubernetes兼容能力，您可以轻松迁移已有的Kubernetes应用到Serverless集群上，并且根据应用配置的CPU和内存资源量进行按需付费。 使用场景 互联网企业：大规模业务上线生产环境，对管控的稳定性、可观测性和安全性有较高要求。 大数据计算企业：大规模数据计算、高性能数据处理、高弹性需求等类型业务，对集群稳定性、性能和效率有较高要求。

一体机基础产品能力包含哪些？ 一体机默认提供基础的计算、存储、网络、监控和管理服务，其中对象存储、文件存储为可选。 一体机是否需要单独服务器配置对象存储？ 专业版支持对象存储，且对外有标准S3接口，可以和块存储融合部署，也可以用几个节点单独做对象存储集群，主要看对象存储和块存储的容量需求。 如果有多套一体机，可以用云管进行统一纳管吗？ 可以，一体机上部署的混合云管支持纳管能力。但客户需要自行打通不同一体机的网络，并支付相应的线路费用。 一体机是否支持纯软售卖？ 支持，一体机软件版不支持利旧设备，客户需按一体机标准配置进行硬件采购。 一体机是否提供等保软件套餐？ 一体机默认不提供安全能力，如客户有等保需求，可以将官网安全专区中的等保套餐私有化部署到一体机里，为客户提供等保能力，此部分单独收费。等保能力会有资源占用，最终用户可用的资源等于一体机默认提供的资源减去等保能力占用的资源。

本文介绍HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。例如： 当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时，若用户在浏览器中输入HTTP协议的URL进行访问，CDN节点会将该HTTP请求强制跳转到HTTPS协议，此时： 若未启用HSTS功能，且用户是首次以HTTP协议访问CDN节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 若启用HSTS功能，CDN节点会响应一个强制HSTS的头（例如：StrictTransportSecurity：maxagexxxx;includeSubDomains）给客户端，告诉客户端只能使用HTTPS协议访问CDN节点，此后浏览器将直接使用HTTPS协议访问CDN节点，不再需要HTTP协议强制跳转HTTPS协议。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 在HSTS生效前，可参考：强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【HSTS】模块，开启功能并根据需求填写配置。 9. 单击【保存】，完成配置。 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

本文介绍如何在控制台进行待办事项处置。 功能说明 企业员工在客户端提交权限申请或者提交问题/建议反馈后，您可以在控制台的审批处理页面管理并处理员工的权限申请和问题建议。 注意 如果您要使用问题反馈功能，请更新客户端到2.0.x版本。 如果您要使用权限申请功能，请更新客户端到2.1.x以上版本，如有需求请 操作步骤 1. 登录边缘安全加速控制台，选择控制台【AOne零信任】； 2. 在左侧导航栏，选择【待办事项】，进入待办处理页面； 3. 待办事项处理页面分为两个模块：权限审批和问题反馈，默认展示权限审批页面。您可以通过点击对应的卡片切换不同处理列表。 权限申请 权限审批页面默认列表展示当前员工权限申请信息，可进行相关查看以及配置权限申请策略。 权限申请列表 展示权限申请的概览情况，点击可以快速过滤查询。 您可以通过应用名称、申请授权人员、流程状态、当前处理人对权限申请条目进行筛选查询；针对待审批的单条权限申请，您可以对其进行通过、驳回、撤销、删除等操作；对于已完成或者已驳回的权限申请，您可以按需删除工单，管理申请记录。

本节主要介绍如何审核流程版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程“操作”列，单击“版本管理”，弹出流程版本管理页面。 6. 在流程版本管理页面中，单击目标流程所在行的“操作”列的“审核”，弹出审核确认框。 7. 在审核确认框中，选择“审核意见”，参数说明如下表所示。 参数 说明 审核意见 勾选审核结论。 通过，通过后流程版本状态更新为已激活。 驳回，驳回后流程版本状态更新为审核驳回，可再次编辑后提交。 驳回原因 输入审核意见（当审核意见勾选驳回时必填）。 说明 审核驳回后的流程版本可进行编辑，具体操作请参见 流程版本状态变化： 当前流程仅有一个流程版本时，审核通过后的流程“版本状态”默认为“已激活”。 8. 单击“确定”，完成审核流程版本。

不同磁盘类型支持挂载的云主机规格 普通IO支持挂载的云主机规格 规格分类 规格名称 通用型云主机 通用型s8e 通用型云主机 通用型s8r 通用型云主机 通用型s8 通用型云主机 通用型s7 通用型云主机 通用型s6 通用型云主机 通用型s3 通用型云主机 通用型s2 计算型云主机 计算型c8a 计算型云主机 计算型c8e 计算型云主机 计算型c8 计算型云主机 计算型c7 计算型云主机 计算型c6 计算型云主机 计算型c3 内存型云主机 内存型m8a 内存型云主机 内存型m8e 内存型云主机 内存型m8 内存型云主机 内存型m7 内存型云主机 内存型m6 内存型云主机 内存型m3 内存型云主机 内存型m2 增强型云主机 网络增强计算型c7ne(停售) 经济型云主机 经济型e GPU加速/AI加速云主机 L20计算加速型PN8I GPU加速/AI加速云主机 L40S计算加速型PN8S GPU加速/AI加速云主机 GPU计算加速型PN8R GPU加速/AI加速云主机 A100计算加速型P8A GPU加速/AI加速云主机 A10计算加速型PI7 GPU加速/AI加速云主机 V100计算加速型P2V GPU加速/AI加速云主机 V100S计算加速型P2Vs GPU加速/AI加速云主机 T4计算加速型PI2 GPU加速/AI加速云主机 A10 图像加速基础型G7 GPU加速/AI加速云主机 T4图像加速基础型G6 GPU加速/AI加速云主机 V100图像加速基础型G5 GPU加速/AI加速云主机 V100S图像加速基础型G5S GPU加速/AI加速云主机 昇腾计算加速型PAK3 GPU加速/AI加速云主机 昇腾计算加速型PAK2 GPU加速/AI加速云主机 昇腾计算加速型PAK1 GPU加速/AI加速云主机 寒武纪计算加速型PCH1 国产云主机 鲲鹏网络增强通用型ks2xne 国产云主机 鲲鹏网络增强计算型kc2xne 国产云主机 鲲鹏网络增强内存型km2xne 国产云主机 鲲鹏网络增强通用型ks2ne(停售) 国产云主机 鲲鹏网络增强计算型kc2ne(停售) 国产云主机 鲲鹏网络增强内存型km2ne(停售) 国产云主机 鲲鹏通用型ks2x 国产云主机 鲲鹏计算型kc2x 国产云主机 鲲鹏内存型km2x 国产云主机 鲲鹏通用型ks2(停售) 国产云主机 鲲鹏计算型kc2(停售) 国产云主机 鲲鹏内存型km2(停售) 国产云主机 鲲鹏通用型ks1 国产云主机 鲲鹏计算型kc1 国产云主机 鲲鹏内存型km1 国产云主机 海光网络增强通用型hs3xne 国产云主机 海光网络增强计算型hc3xne 国产云主机 海光网络增强内存型hm3xne 国产云主机 海光网络增强通用型hs3ne(停售) 国产云主机 海光网络增强计算型hc3ne(停售) 国产云主机 海光网络增强内存型hm3ne(停售) 国产云主机 海光通用型hs3x 国产云主机 海光计算型hc3x 国产云主机 海光内存型hm3x 国产云主机 海光通用型hs3(停售) 国产云主机 海光计算型hc3(停售) 国产云主机 海光内存型hm3(停售) 国产云主机 海光通用型hs1 国产云主机 海光计算型hc1 国产云主机 海光内存型hm1 国产云主机 飞腾通用型fs1 国产云主机 飞腾计算型fc1 国产云主机 飞腾内存型fm1 本地盘云主机 超高IO型本地盘ip3云主机 本地盘云主机 超高IO型本地盘ir3云主机 本地盘云主机 磁盘增强型本地盘d3云主机

如果您需要新增分类分级模板请参考此章节操作。 数据安全中心DSC默认内置一个识别模板，同时支持通过复制模板来自定义新的识别模板。 约束条件 创建识别模板后不支持删除模板，且一个帐号最多可创建20个识别模板。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 5. 在目标模板单击“复制”，在复制模板弹框中填写“新模板名称”和“描述”。 6. 单击“确定”。 相关操作 单击“设为默认”，可将该模板设置为默认模板。 单击模板“概览”查看模板分类分级详情。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 获取临时token 在服务端生成临时token，可参考java、python、nodejs、CPP、donet、go、php SDK说明，请从 SDK概览 页面选择进入对应的开发指南查阅。 使用临时token 使用assumeRole请求申请临时凭证，使用服务端返回的accessKeyId，secretAccessKey和sessionToken来初始化s3对象。 使用过程中，需要更新凭证，保证凭证不过期。使用过期凭证的请求，服务端会返回403（AccessDenied）。 javascript let S3Demo { credentials: { accessKeyId: " ", secretAccessKey: " ", sessionToken: " ", }, s3Client: null, ​ // 初始化s3对象 init: function () { let config { credentials: this.credentials, endpoint: " ", }; this.s3Client new AWS.S3(config); }, } 参数说明： 参数 说明 credentials 用户账号信息，包含accessKeyId和secretAccessKey和sessionToken endpoint 天翼云资源池的地址，必须指定http或https前缀

操作场景 本章介绍如何在控制台创建集群实例、以及创建后如何设置安全组、并通过内网连接集群实例。 使用流程 初次创建实例到可以开始使用实例，您需要完成如下操作： 图 内网访问数据库实例

创建云主机组 您可以申请创建一个云主机组，同一云主机组中的弹性云主机遵从相同策略，云主机组与云主机组之间没有关联关系。 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在左侧导航树中，选择“云主机组”。 4. 在“云主机组”页面，单击“创建云主机组”。 5. 输入云主机组的名称。 系统默认设置为“反亲和性”策略。 6. 选择云主机组的策略。 7. 单击“确定”。 添加云主机到云主机组 为提升业务可靠性，您可以添加弹性云主机到云主机组，添加后，该弹性云主机与云主机组中的其他云主机分散地创建在不同主机上。 说明 仅反亲和性策略的云主机组，支持将云主机添加到云主机组。 添加云主机到云主机组后，会重新分配该云主机所在的主机，使其与云主机组中的其他云主机分散地创建在不同主机上。那么当弹性云主机再次开机时，可能会出现由于资源不足引起的启动失败，请将云主机移出云主机组后重新启动。 包含本地盘的云主机无法在创建后加入云主机组，如需使用云主机组功能，请在创建时选择云主机组。 弹性云主机包含本地盘、GPU卡，则无法在创建后加入云主机组，如需使用云主机组功能，请在创建时选择云主机组。 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在左侧导航树中，选择“云主机组”。 4. 单击“操作”列下的“添加云主机”。 5. 在“添加云主机”页面，选择待添加的弹性云主机。 6. 单击“确定”。

功能 描述 API 安全概览 提供查看安全概览页统计数据的接口。 安全概览最近7日待处理风险 安全概览防护状态统计 安全概览风险趋势统计 主机概况趋势统计 安全概览最近7日风险动态 资产管理 提供资产统计数据、资产刷新等接口。 资产概览 资产管理刷新资产 资产概览账号端口软件进程Top5 资产管理资产指纹分类统计 资产指纹列表查询 弱口令 提供一键检测、定时检测、查看弱口令检测结果等接口。 弱口令列表 弱口令一键检测 弱口令停止检测 弱口令检测统计 弱口令检测结果查询 弱口令定时扫描配置查询 弱口令定时检测设置 服务器详情页查询弱口令列表 基线管理 提供基线策略新增、修改、查询等接口。 基线事件一级列表查询 基线事件三级列表查询 基线事件检测项详情查询 基线事件检测任务执行 基线检查项白名单新增 基线事件二级列表查询 基线事件根据主机查询基线事件列表 基线事件检测任务运行状态查询 基线检查项白名单删除 基线检查项白名单列表查询 基线策略修改 基线策略新增 基线策略列表分页查询 基线策略开通基线扫描权限服务器列表查询 基线策略基线模板列表查询基线模板列表查询 基线策略根据id删除 基线策略根据id查询详情 异常登录 提供异常登录统计列表，新增、删除异常登录白名单等接口。 异常登录统计列表 异常登录删除白名单 异常登录标记已处理 异常登录查询列表 异常登录新增编辑白名单 异常登录白名单列表 暴力破解 提供暴力破解统计列表，新增、删除暴力破解白名单等接口。 暴力破解统计列表 暴力破解删除白名单 暴力破解查询列表 暴力破解新增编辑白名单 暴力破解白名单列表 后门检测 提供后门检测详情、新增、修改、删除后门检测白名单等接口。 后门检测详情接口 后门检测批量加白接口 后门检测批量标记接口 后门检测列表接口 后门检测概览接口 后门检测标记接口 后门检测白名单修改接口 后门检测白名单新增接口 后门检测白名单根据列表查询接口 后门检测白名单根据id删除接口 后门检测白名单根据id查询接口 反弹shell 提供查询反弹shell告警事件、处理反弹shell告警事件等接口。 反弹shell告警事件列表查询 反弹shell告警事件详情查询 反弹shell告警白名单列表查询 反弹shell告警事件统计 反弹shell告警白名单移除 反弹shell告警事件处理 漏洞扫描 提供立即检测、定时检测、查询漏洞扫描详情、处理漏洞扫描结果等接口。 漏洞扫描漏洞修复 漏洞扫描立即检测 漏洞扫描停止检测 漏洞扫描上一次扫描详情统计 漏洞扫描上一次扫描详情列表 漏洞扫描上一次扫描查询 漏洞扫描漏洞详情接口 漏洞扫描列表 漏洞扫描统计 漏洞扫描检测结果查询 漏洞扫描加入、删除白名单 漏洞扫描定时扫描配置查询 漏洞扫描白名单列表 漏洞扫描标记已处理 单个服务器漏洞扫描列表 漏洞扫描定时检测设置 网页防篡改 提供网页防篡改配置的新增、修改、删除等接口。 网页防篡改防护配置修改 网页防篡改防护配置新增 网页防篡改防护配置删除 网页防篡改防护配置配额解绑 网页防篡改防护目录删除 网页防篡改防护配置配额绑定 网页防篡改防护配置可用服务器列表查询 网页防篡改防护配置备份目录修改 网页防篡改防护配置备份目录查询 网页防篡改防护配额列表查询 网页防篡改防护结果最新防护动态 网页防篡改防护结果告警列表 网页防篡改防护结果防护状态统计 网页防篡改防护结果防护文件统计Top5 网页防篡改防护结果防护文件变动数Top5 网页防篡改防护结果单条删除告警数据 网页防篡改防护配置列表查询 网页防篡改防护配额统计 网页防篡改防护结果批量删除告警数据 病毒查杀 提供一键检测、定时检测、查询病毒查杀检测结果等接口。 病毒查杀一键检测接口 病毒查杀统计接口 病毒查杀停止检测接口 病毒查杀上一次检测详情列表接口 病毒查杀上一次检测详情接口 病毒查杀上一次检测事件接口 病毒查杀列表接口 病毒查杀检测结果查询接口 病毒查杀隔离信任删除操作接口 病毒查杀定时扫描配置查询接口 病毒查杀定时检测设置接口 病毒查杀病毒详情接口 配额管理 提供服务器防护配额的查询、绑定等接口。 服务器配额绑定 待绑定的配额列表 待绑定服务器列表 配额统计 配额列表查询 设置中心 提供告警配置、同步资产间隔配置等接口。 告警配置查询 告警配置保存 同步资产间隔设置 同步资产间隔查询 同步资产查询最新同步时间 告警总开关保存 Agent管理 提供升级、卸载Agent接口。 卸载Agent 升级Agent 获取Agent安装脚本 操作审计 提供可疑操作的查询、审计规则的新增、修改、删除等接口。 操作审计可疑操作详情接口 操作审计可疑操作审核接口 操作审计可疑操作上下文接口 操作审计可疑操作列表接口 操作审计可疑操作概览接口 操作审计修改审计规则开关接口 操作审计审计规则修改接口 操作审计审计规则新增接口 操作审计审计规则列表查询接口 操作审计审计规则根据id删除接口 操作审计审计规则根据id查询接口 其他接口 提供查询服务器列表、查询主机防护状态、开启/关闭防护等接口。 服务器列表 查询城市列表 查询省份信息 查询国家信息 服务器区域统计 查询Az信息 开启安全卫士防护 关闭安全卫士防护 服务器详情 服务器地域&az信息列表接口 同步主机资产 安全卫士签署协议 查询已绑定配额服务器 查询主机防护状态

本文向您介绍Hypervisor安全的相关知识。 Hypervisor Hypervisor是一种运行在物理机上的软件，可以在单个物理机上创建、运行和管理多个虚拟机。Hypervisor根据需要将底层物理计算资源（如cpu、内存）进行抽象统一管理，并按需将资源分配给各个虚拟机。Hypervisor实现了同一物理机上不同虚拟机之间的资源隔离，避免数据窃取或恶意攻击，同时保证虚拟机的资源使用不受周边虚拟机的影响。用户使用虚拟机时，只能访问属于自己的虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证了虚拟机的数据隔离和安全。 CPU隔离 CPU虚拟化是Hypervisor中最核心的部分，内存虚拟化和IO虚拟化都依赖于CPU虚拟化的正确实现。 X86架构中为了保护指令的运行，提供了指令的4个不同特权级别，术语称为Ring，优先级从高到低依次为： 1. Ring 0：最高特权级别，被用于运行操作系统内核。 2. Ring 1：用于操作系统服务。 3. Ring 2：用于操作系统服务。 4. Ring 3：用于应用程序。 Hypervisor运行在最高特权级别，可以控制物理处理器上的所有关键资源；而虚拟机操作系统运行在非最高级特权级别，所以其访问物理资源的敏感指令会陷入到Hypervisor中通过软件的方式进行模拟。通过拦截并模拟虚拟机的敏感指令，Hypervisor实现了虚拟机vCPU的隔离，有效防止了虚拟机越权恶意攻击物理机或其他虚拟机。

此小节介绍设置邮件通知。 开启邮件通知后，当数据库设置的告警事件发生或生成报表时，您可以收到告警或报表生成的通知邮件。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置邮件通知的实例。 6. 设置邮件通知，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 邮件通知 开启或关闭邮件通知。数据库安全审计默认开启邮件通知，当数据库发生设置的告警事件或生成报表时，数据库安全审计将发送通知邮件。：开启：关闭 收件人 输入收件人的邮箱地址。 抄送人 可选参数。输入抄送人的邮箱地址。 7. 单击“应用”。

本节介绍智算安全专区相关术语。 RAG RAG（RetrievalAugmented Generation，检索增强生成）是一种将信息检索系统与大语言模型的生成能力相结合的技术框架。 OpenAI API规范 是由OpenAI提供的一套接口规范，围绕Chat Completions API构建，这是一种基于HTTP的RESTful接口，允许开发者与大语言模型（如GPT系列）进行交互。

本节介绍虚拟节点用户指南。 分布式容器云平台的注册集群已集成弹性容器实例（ECI）的虚拟节点，实现与云上弹性算力的衔接。用户可以在自建集群中创建虚拟节点，并使用云上弹性算力运行Pod。 前提条件 已创建注册集群； 用户IDC集群或者三方Kubernetes集群连通性正常； 集群使用Underlay网络模式，容器Pod IP集群外可访问； 依赖集群标准kubeproxy configmap； 功能优势 使用虚拟节点有如下优势： 全托管免运维； 弹性高效； 低成本； 安全隔离； 使用限制 网络插件限制：ECI默认通过云上VPC路由联通网络，不支持自定义CNI插件； 可用区不能重复创建，可用区内按需弹性； 参考 弹性容器实例 的功能限制 自建Kubernetes集群对接ECI，不支持Kubernetes中的Daemonset、HostPath等功能； 使用流程 参考使用流程 指定ECS和ECI的资源分配 。 创建虚拟节点 1. 登录分布式容器云平台，在左侧导航栏选择 集群资源 > 集群管理，选中需要操作的集群名称，点击进入集群详情； 2. 点击左侧菜单节点 > 节点，在节点列表页面，点击创建虚拟节点，进入创建虚拟节点页面； 3. 选择可用区，如有需要添加标签和污点，确定创建； 4. 在节点列表页面，查看虚拟节点信息，，虚拟节点的类型显示为virtualkubelet，并且标有 "virtualkubelet.io/providercubeeci:NoSchedule"污点； 在分布式容器云平台创建的虚拟节点，在弹性容器实例（ECI）中也能查看，由弹性容器实例 按使用情况计费； 每个可用区不可重复创建虚拟节点，可用区内根据Pod所需资源按量创建；

参数 说明 InstanceId 物理机ID，可通过登录管理控制台，在物理机列表中查看。说明InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，请参考下两条。该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。InstanceId必须与实际的物理机资源ID一致，否则云监控界面将看不到对应物理机资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看物理机资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证>管理访问秘钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。配置的AccessKey必须在“我的凭证 >管理访问秘钥”列表中，否则将鉴权失败，云监控界面看不到操作系统监控数据。 RegionId 区域ID，例如：物理机资源所属区域为“杭州”，则RegionID为“cnhz1”。

本文介绍在AOne零信任如何进行客户端设置。 背景说明 企业可根据不同的安全要求和合规标准设置不同的客户端策略。 功能说明 超时注销登录 用户账号长时间连接内网，存在账号盗用、占用会话导致并发超过上限等风险，管理员可自定义配置超时注销策略。变更配置后续重新登录客户端才可生效。 根据企业场景配置账号超时注销方式，企业可分别对桌面端和移动端设置不同的超时规则，当客户端连接内网或无内网访问流量达到设定时间（桌面端默认 5 小时、移动端默认 3 小时 ），就会自动注销登录状态，再次访问内网时需重新登录，这样能有效保障内网访问安全 。 注意 移动端暂未发版本，有需要可以 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对内网访问进行，若您订购的是“带宽计费”，则带宽超量达到阈值后则会进行自动限速，配置详情见客户端限速。 客户端自保护 支持客户端防卸载能力，适用于企业强管控合规要求，配置详情见客户端自保护。

本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云边缘安全加速平台—边缘接入服务提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置边缘接入服务后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查网站访问异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以通过控制台自助输入IP地址，点击【验证】按钮进行查询。 控制台自助查询IP归属 1. 登录边缘安全加速平台控制台，选择【边缘接入】控制台。 2. 进入【工具管理】【IP归属查询】页面，输入查询的地址，支持一次查询多个ip。 3. 输入查询后将显示该地址是否为天翼云节点以及对应归属地。

本文简述回源端口的配置方法。 功能介绍 源站端口，是指源站接收天翼云AOne安全与加速请求时所用的端口，一般http协议和https协议使用不同的源站端口。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置”。 4.在源站端口模块，配置合适的回源端口。http端口默认80，支持自定义；https端口默认443，支持自定义。 配置界面 未开启“跟随请求端口回源”时，可以自定义配置HTTP回源端口和HTTPS回源端口，如下图： 开启“跟随请求端口回源”时，HTTP回源端口和HTTPS回源端口置灰不能配置，将使用请求端口回源，如下图： 参数名 说明 http 使用http协议回源时使用的源站端口，默认80，支持自定义，自定义回源端口范围为1~65535。 https 使用https协议回源时使用的源站端口，默认443，支持自定义，自定义回源端口范围为1~65535。 跟随请求端口回源 跟随请求端口回源开关开启后，使用请求端口回源。

本节主要介绍如何审核剧本版本。 前提条件 已提交剧本，具体操作请参见提交剧本版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“审核”，弹出审核剧本版本页面。 7. 在审核剧本版本页面，填写审核信息，审核剧本版本参数说明如下表所示。 参数 说明 审核意见 勾选审核结论。 通过，通过后剧本版本状态更新为已激活。 驳回，驳回后剧本版本状态更新为审核驳回，可再次编辑后提交。 驳回原因 当“审核意见”为“驳回”时，需要填写该参数。 输入审核意见（当审核意见勾选驳回时必填）。 说明 当前剧本仅有一个剧本版本时，审核通过后的剧本“版本状态”默认为“已激活”。 8. 单击“确定”，完成审核剧本版本。 后续处理 剧本版本审核后，需要启用剧本，详细操作请参见启用剧本。

福建云专线业务资费由安装调测费和电路月租费组成。 1） 电路月租费指客户租用云专线所产生的月度使用费用，按照公式计算得到，电路月租费为： 销售品名称 速率（Mbps） 省政企授权价（元/月） MPLSVPN PON云虚电路10M 10 200 MPLSVPN PON云虚电路20M 20 300 MPLSVPN PON云虚电路30M 30 400 MPLSVPN PON云虚电路40M 40 500 MPLSVPN PON云虚电路50M 50 600 MPLSVPN PON云虚电路60M 60 700 MPLSVPN PON云虚电路70M 70 800 MPLSVPN PON云虚电路80M 80 900 MPLSVPN PON云虚电路90M 90 950 MPLSVPN PON云虚电路100M 100 1000 MPLSVPN LAN云虚电路10M 10 450 MPLSVPN LAN云虚电路20M 20 550 MPLSVPN LAN云虚电路30M 30 650 MPLSVPN LAN云虚电路40M 40 750 MPLSVPN LAN云虚电路50M 50 850 MPLSVPN LAN云虚电路60M 60 950 MPLSVPN LAN云虚电路70M 70 1050 MPLSVPN LAN云虚电路80M 80 1150 MPLSVPN LAN云虚电路90M 90 1250 MPLSVPN LAN云虚电路100M 100 1350 MPLSVPN LAN云虚电路200M 200 2700 MPLSVPN LAN云虚电路300M 300 4050 MPLSVPN LAN云虚电路400M 400 5400 MPLSVPN LAN云虚电路500M 500 6750 MPLSVPN LAN云虚电路600M 600 8100 MPLSVPN LAN云虚电路700M 700 9450 MPLSVPN LAN云虚电路800M 800 10800 MPLSVPN LAN云虚电路900M 900 12150 MPLSVPN LAN云虚电路1G 1000 13500 STN云专线10M 10M 600 STN云专线20M 20M 800 STN云专线30M 30M 1000 STN云专线40M 40M 1200 STN云专线50M 50M 1300 STN云专线60M 60M 1500 STN云专线70M 70M 1600 STN云专线80M 80M 1800 STN云专线90M 90M 1900 STN云专线100M 100M 2000 STN云专线200M 200M 3200 STN云专线300M 300M 4300 STN云专线400M 400M 5400 STN云专线500M 500M 6400 STN云专线600M 600M 7400 STN云专线700M 700M 8300 STN云专线800M 800M 9100 STN云专线900M 900M 9800 STN云专线1G 1G 10500 STN云专线2.5G 2.5G 21700

本文介绍Redis 6.0支持的新特性说明 支持SSL   Redis 6.0连接支持SSL，可以传输加密，更加安全，但会带来一定的性能损失 ACLs 权限控制 Redis ACL是访问控制列表（ Access Control List）的缩写，它允许某些连接在可以执行的命令和可以访问的KEY方面受到限制。它的工作方式是，在连接后，客户端需要提供用户名和有效密码进行身份验证。如果身份验证成功，则连接将与给定用户和该用户的限制相关联。 该功能可以有效提高安全性。 RESP3 协议   RESP（Redis Serialization Protocol）是 Redis 服务端与客户端之间通信的协议。   RESP3 是 RESP version 2 的更新版本。RESP v2 大致从 Redis 2.0 开始支持（其实 1.2 就支持了，只不过 Redis 2.0 是第一个仅支持此协议的版本）。 RESP 2 具有如下缺陷： 没有足够的语义能力去表达数据结构。例如，Redis命令LRANGE、SMEMBERS和HGETALL都会返回一个数组，在RESP v2术语中称为多块回复。然而，这三个命令实际上返回一个数组、一个集合和一个映射。 RESP缺少重要的数据类型：浮点数和布尔值分别作为字符串和整数返回。空值具有双重表示，称为空批量和空多批量，这是无用的，因为区分空数组和空字符串的语义值是不存在的。 无法返回二进制安全错误。在实现生成协议的通用API时，实现必须检查并删除错误字符串中潜在的换行符。 RESP 3 新增了更多的数据类型，强化了协议的可表达能力和可理解能力

连接方式 使用场景 通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能地管理数据库。关系型数据库服务默认开通DAS连接权限。 提供两种连接方式通过SQL Server Management Studio客户端连接实例：非SSL连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本文为您介绍Web基础防护模块中，自定义防护规则组的配置方式。 云WAF的防护规则引擎支持用户自定义搭建防护规则组，为具体的防护场景创建有针对性的防护策略。在设置网站防护功能时，如果默认的防护规则组不能满足您的需求，建议您自定义防护规则组。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 使用限制 基础版不支持自定义防护规则组，请升级到更高版本使用。 使用流程 防护规则组应用流程如下： 1. 新建规则组：为具体防护功能创建自定义防护规则组，形成有针对性的防护策略。 2. 应用规则组：添加自定义防护规则组后，您可以为网站域名应用自定义防护规则组。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web基础防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组配置”页面，可以看到当前的规则组列表。规则组列表展示了系统默认防护规则组及自定义防护规则组。 8. 在规则组列表上方，点击“新建规则组”，进入新建规则组页面，完成以下信息配置。 配置项 说明 规则组名称 设置规则组的名称。规则组名称用于标识当前规则组，建议您使用有明确含义的名称。 规则组模板 选择要应用的规则组模板。可选项： 严格规则组 中等规则组 宽松规则组 其他自定义规则组 规则组模板可以多选，系统会将所选的规则组最大集作为模板，下一步基于该集合进行规则配置。 规则组描述 输入规则组的描述信息。 规则配置 选择当前规则组要应用的防护规则。当前规则列表默认展示您所选的规则组模板集合中的所有规则，您需要从中勾选适用的规则，将不适用或者可能造成误拦截的规则取消勾选。 您可以使用筛选和搜索功能查询规则，例如通过危险等级、防护类型筛选规则，或者输入规则名称、CVE编号、规则ID搜索规则。 危险等级：表示规则防御的Web攻击的危险等级，包括高危、中危、低危。 防护类型：表示规则防御的Web攻击类型，包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 9. 如您暂时无需应用新建的规则组，可以在完成以上配置后，点击“保存”，完成配置向导。后续需要应用该规则组的时候再配置即可。 10. （可选）点击“下一步，应用到防护对象”将规则组应用到域名。从“待接入防护对象”列表中选择要应用当前规则组的域名，添加到“已接入防护对象”列表，单击“保存”。 注意 每个防护对象只能应用一个防护规则组。 11. 完成操作后，您可以在规则组列表中查看新建的规则组，包括规则组的更新时间以及应用域名的情况。 12. 您可以根据需要调整应用防护规则组的域名，通过点击“应用到防护对象”进行操作即可。 13. 创建规则组后，您可以在防护规则组列表中查看规则组内置规则情况，点击“内置规则数”列的数字进入规则列表。

接口功能介绍 服务器列表根据云主机id查询主机防护状态接口。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/host/cloud/guard/statusQuery/query 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 cloudHostIds 是 Array of Strings 云主机id列表 ["111","222"] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 key Array of Objects key 表 key 参数 参数类型 说明 示例 下级对象 agentIp String 内网IP 10.10.10.10 publicIp String 公网IP 10.10.10.10 custName String 主机名称 ctcass hostName String 实例名称 ctcass osType String 操作系统类型 Linux/Windows Linux agentStateCode String Agent状态 12在线 13离线 12 agentGuid String agentGuid 11111111111111111111111111111111 hostUid String 云主机控制台实例id 11111111111111111111111111111111 type String 服务器类型 vm虚拟机 pm物理机 vm guardStatus String 防护状态 防护中/未防护 未防护 guardStatusCode Integer 防护状态code 1防护中 4未防护 1 regionName String 地域 杭州 quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 quotaVersionName String 配额版本名称 基础版 企业版 旗舰版 viewUrl String 查看连接

本节介绍如何登录DDoS高防IP控制台。 操作步骤 1. 登录天翼云官网 2. 选择“安全 > DDoS高防IP”，进入DDoS高防IP控制台。

本节介绍了云数据库TaurusDB产品咨询相关问题。 使用TaurusDB要注意些什么 1. 实例的操作系统，对用户都不可见，这意味着，只允许用户使用应用程序访问数据库对应的IP地址和端口。 2. 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及TaurusDB服务使用的弹性云主机（Elastic Cloud Server，简称ECS），都对用户不可见，它们只对TaurusDB服务的后台管理系统可见。 3. 查看实例列表时请确保与实例选择的区域一致。 4. 申请TaurusDB后，您还需要做什么。 申请TaurusDB实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： a. TaurusDB实例的CPU、内存等资源是否足够，如果资源不足需及时变更规格。 b. TaurusDB实例的数据存储空间是否足够，如资源不足需及时扩容。（超出时会自动扩容，但超出部分是按需收费，价格比自行扩容贵）。 c. TaurusDB实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 为何使用了TaurusDB后网站登录较慢 推荐您做如下两个处理： 通过TaurusDB服务的管理控制台查看TaurusDB实例的性能情况。 与应用程序有很大关系，使用命令查看当前数据库连接状态，比较本地数据库和TaurusDB的差异。 TaurusDB如何自动进行故障切换 创建TaurusDB实例时，除主节点外，默认创建了一个只读节点。当主节点故障时，系统会自动切换到只读节点，只读节点提升为主节点，原来故障的主节点也会自动恢复为只读节点。